具有服务组定义的 Cisco ASA 5515 NAT

网络工程 思科 思科-ASA
2022-02-05 05:33:11

我正在尝试在我的 ASA 5515 后面设置负载均衡器。(运行 Cisco IOS 版本 9.1。)

是否可以使用 service-group 语句对端口进行分组以执行静态 nat?例如,我希望能够对端口 80 和 443(以及其他端口)进行 NAT。

我的服务组:

object-group service webServices
   service-object tcp destination eq www 
   service-object tcp destination eq https

我的网络对象:

object network lb01
   host 192.168.1.13

我充满希望的 nat 声明(可悲地失败了):

nat (dmz,outside) static interface service tcp object-group webServices object-group webServices

请问有人可以纠正我吗?非常感谢!

1个回答

我想我修好了。最终配置(尽管 ASA 多次抱怨重叠)是

object network lb01
  host 192.168.72.11

object-group service webServices
 service-object tcp destination eq www 
 service-object tcp destination eq https

object network lb01
 nat (dmz,outside) static interface


access-list outside_in extended permit object-group webServices any object lb01

它可以工作,并且只有服务组中的端口才能进行 NAT。

其它你可能感兴趣的问题
上一篇存储和转发延迟 下一篇具有不同路由的子网路由